Beim Konfigurieren von Firewallregeln auf Profil- und Edge-Ebene können Sie die vorhandenen Objektgruppen auswählen, die mit der Quelle oder dem Ziel übereinstimmen. Sie können die Regeln für einen Bereich von IP-Adressen oder einen Bereich von TCP-/UDP-/ICMPv4-/ICMPv6-Ports definieren, indem Sie die Objektgruppen in die Regeldefinitionen einschließen.
Führen Sie auf der Profilebene die folgenden Schritte aus, um eine Firewallregel mit Objektgruppe zu konfigurieren:
Prozedur
Navigieren Sie im SD-WAN-Dienst des Unternehmensportals zu Konfigurieren (Configure) > Profile (Profiles). Auf der Seite Profile (Profiles) werden die vorhandenen Profile angezeigt.
Wählen Sie ein Profil aus, um eine Firewallregel zu konfigurieren, und klicken Sie auf die Registerkarte Firewall.
Über die Seite
Profile (Profiles) können Sie direkt zur Seite
Firewall navigieren, indem Sie in der Spalte
Firewall des Profils auf den Link
Anzeigen (View) klicken.
Navigieren Sie zum Abschnitt Firewall konfigurieren (Configure Firewall) und klicken Sie unter Firewallregeln (Firewall Rules) auf + NEUE REGEL (+ NEW RULE). Das Dialogfeld Regel konfigurieren (Configure Rule) wird angezeigt.
Geben Sie im Textfeld Regelname (Rule Name) einen eindeutigen Namen für die Regel ein. Um eine Firewallregel aus einer vorhandenen Regel zu erstellen, wählen Sie die zu duplizierte Regel aus dem Dropdown-Menü Regel duplizieren (Duplicate Rule) aus.
Konfigurieren Sie im Bereich Übereinstimmung (Match) die Übereinstimmungsbedingungen für die Regel:
Wählen Sie den IP-Adresstyp für die Regel aus. Standardmäßig ist der Adresstyp „IPv4 und IPv6“ ausgewählt. Sie können die Quell- und Ziel-IP-Adressen entsprechend dem ausgewählten Adresstyp konfigurieren.
Wählen Sie im Filter-Dropdown-Menü Quelle (Source) die Option Objektgruppen (Object Groups) aus.
Wählen Sie die entsprechende Adressgruppe und Dienstgruppe aus dem Dropdown-Menü aus. Wenn die ausgewählte Adressgruppe Domänennamen enthält, werden sie ignoriert, wenn sie für die Quelle abgeglichen werden.
Sie können auf das Infosymbol neben den Dropdown-Menüs „Adressgruppe (Address Group)“ und „Dienstgruppe (Service Group)“ klicken, um die Konfigurationsdetails der entsprechenden Adress- und Dienstgruppe anzuzeigen.
Falls erforderlich, können Sie auch die Adresse und die Dienstgruppen für das Ziel auswählen.
Je nach ausgewählten Adresstyp ist folgendes Verhalten zu beobachten:
Die IPv4-Typregel stimmt nur mit den IPv4-Adressen überein, die in der ausgewählten Adressgruppe verfügbar sind.
Die IPv6-Typregel stimmt nur mit den IPv6-Adressen überein, die in der ausgewählten Adressgruppe verfügbar sind.
Die Regel für kombinierte Typen stimmt sowohl mit den IPv4- als auch mit den IPv6-Adressen in der ausgewählten Adressgruppe überein.
Wählen Sie Firewallaktionen aus und klicken Sie auf Erstellen (Create).
Klicken Sie auf Änderungen speichern (Save Changes).
Eine Firewallregel wird für das ausgewählte Profil erstellt und auf der Seite
Profil-Firewall (Profile Firewall) im Bereich
Firewallregeln (Firewall Rules) angezeigt.
Hinweis: Die auf der Profilebene erstellten Regeln können auf der Edge-Ebene nicht aktualisiert werden. Um die Regel zu überschreiben, muss der Benutzer dieselbe Regel auf der Edge-Ebene mit neuen Parametern erstellen, um die Regel auf Profilebene zu überschreiben.
Im Bereich
Firewallregeln (Firewall Rules) der Seite
Profilfirewall (Profile Firewall) können Sie die folgenden Aktionen ausführen:
LÖSCHEN (DELETE) – Aktivieren Sie zum Löschen vorhandener Firewallregeln die Kontrollkästchen vor den Richtlinien und klicken Sie auf LÖSCHEN (DELETE).
KLONEN (CLONE) – Zum Duplizieren einer Firewallregel wählen Sie die Regel aus und klicken auf KLONEN (CLONE).
KOMMENTARVERLAUF (COMMENT HISTORY) – Zum Anzeigen aller beim Erstellen oder Aktualisieren einer Regel hinzugefügten Kommentare wählen Sie die Regel aus und klicken auf KOMMENTARVERLAUF (COMMENT HISTORY).
Nach Regel suchen (Search for Rule) – Ermöglicht das Durchsuchen der Regel nach Regelname, IP-Adresse, Port/Portbereich sowie Adressgruppen- und Dienstgruppennamen.
Ergebnisse
Die Firewallregeln, die Sie für ein Profil erstellen, werden automatisch auf alle Edges angewendet, die mit dem Profil verknüpft sind. Bei Bedarf können Sie zusätzliche Edge-spezifische Regeln erstellen, indem Sie zu
Konfigurieren (Configure) >
Edges navigieren, einen Edge auswählen und auf die Registerkarte
Firewall klicken.
Im Abschnitt The
Regeln aus Profil (Rules From Profile) werden die vom Profil vererbten schreibgeschützten Regeln angezeigt. Wenn Sie eine Regel auf Profilebene überschreiben möchten, fügen Sie eine neue Regel hinzu. Die hinzugefügte Regel wird in der Tabelle über dem Abschnitt
Regeln aus Profil (Rules From Profile) angezeigt und kann bei Bedarf geändert oder gelöscht werden.
Hinweis: Standardmäßig werden die Firewallregeln dem globalen Segment zugewiesen. Falls erforderlich, können Sie ein Segment aus der Dropdown-Liste
Segment auswählen und Firewallregeln erstellen, die spezifisch für das ausgewählte Segment sind.
Sie können die Objektgruppen mit zusätzlichen IP-Adressen, Portnummern, Diensttypen und Codes ändern. Die Änderungen werden automatisch in die Firewallregeln aufgenommen, die die Objektgruppen verwenden.
Hinweis: Vor dem Ändern der Objektgruppen können Sie die Konfigurationsdetails der Adress- und Dienstgruppe auf demselben Benutzerschnittstellenbildschirm anzeigen, indem Sie auf das Infosymbol neben der Adressgruppe und dem Dienstnamen klicken. Ein Popup-Fenster mit den Konfigurationsdetails der entsprechenden Adress- und Dienstgruppe wird angezeigt.